{{tag>securite pare-feu ips}}

----
====== FWSnort - Système de Prévention d'intrusion ======

FWSnort est un [[ips]] ( système de prévention d'intrusion ) agissant de pair avec le [[pare-feu]] iptable ( intégré dans ubuntu/linux ) afin de bloquer des attaques réseau qu'il détecte.

fwsnort, comme son nom l'indique, convertit les règles de Snort dans le pare-feu iptables. fwsnort évalue d'abord votre pare-feu actuel et ajoute des règles pour le trafic acceptés. Par défaut, fwsnort logue le trafic suspect, et [[psad]] (( du même auteur)) surveille les journaux.

fwsnort accepte les arguments de ligne de commande pour restreindre le traitement à une classe particulière des règles snort comme "ddos", "backdoor" ou "web-attaques". 

Le traitement peut même être limité à une règle Snort spécifique identifié par son "id snort" ou "sid". fwsnort fait usage de IPTables:: Parse module pour traduire les règles de Snort pour laquelle le trafic correspondant pourrait être passé à travers le jeu de règles iptables existants. Autrement dit, si iptables ne va pas passer, par exemple, le trafic HTTP, puis fwsnort ne comprendra pas les signatures HTTP au sein de l'ensemble de règles iptables qu'elle construit. 

Site officiel : http://www.cipherdyne.org/projects/fwsnort/
===== Installation =====
==== Par les dépots ====
  * [[apt://fwsnort|Cliquez ici]] ((sudo apt-get install fwsnort))

====Installation à partir du site officiel====

   * [[http://cipherdyne.org/fwsnort/download/|Téléchargez la dernière version sur le site officiel]]
   * <code>
fwsnortversion=fwsnort-1.1
cd ~/Téléchargements
wget http://cipherdyne.org/fwsnort/download/$fwsnortversion.tar.gz
tar xvf $fwsnortversion.tar.gz
cd $fwsnortversion
sudo ./install.pl
</code>
   * Appuyez sur entrer pour accepter les paramètres par défaut.
=====Configuration =====

====Mettre à jour les règles====
  * <code>sudo fwsnort --update-rules</code>
====Lancer la génération du script d'installation des règles====
  * Lancez fwsnort en root pour générer le script ( /etc/fwsnort/fwsnort.sh ) à partir des règles snort,  : <code>sudo fwsnort</code>

<note help>Si vous avez des problèmes lancez <code>
fwsnort --no-ipt-test --verbose</code>
</note>

====Exécuter le script d'installation des règles====
  * script qui ajoutera les règles à iptable : <code>sudo /etc/fwsnort/fwsnort.sh</code>


====Appliquer le script d'installation des règles au démarage==== 
  * Editez /etc/rc.local : <code>sudo gedit /etc/rc.local</code>
  * et ajouter /etc/fwsnort/fwsnort.sh
==== (facultatif?)Mettre à jour régulièrement====
<note help>Il peut être préférable de mettre à jour manuellement avec maitrise du contenu ...</note>
  * Editez /etc/rc.local :<code>sudo gedit /etc/rc.local</code>
  * et ajouter à la fin : 
=====Ressource=====

fwsnort a fait l'objet d'un article de sécurité en vedette "[[http://www.linuxsecurity.com/content/view/117370/49/|Prévention basic d'intrusions en utilisant le filtrage  basé sur le contenu]]" sur linuxsecurity.com, et est également apparue dans SysAdmin Magazine dans l'article "[[http://www.samag.com/articles/2004/0404/|filtrage de contenu et inspection avec fwsnort et psad]]". fwsnort est également en vedette dans le livre "[[http://www.amazon.com/exec/obidos/redirect?path=ASIN/0321227239&link_code=as2&camp=1789&tag=cipherdyne-20&creative=9325|Resolution de Pare-feu Linux (R) ]]" par Michael Shinn et Scott Shinn, et publié par Addison Wesley, et un traitement complet de fwsnort peuvent être trouvés dans "[[http://www.nostarch.com/firewalls_mr.htm|Linux Firewalls: Attack Detection and Response avec iptables, psad et fwsnort]]"publié par No Starch Press.

====Tutoriel====
   * (en) **[[http://bodhizazen.net/Tutorials/psad/|NIDS with psad and fwsnort]]** (ubuntu, debian, fedora)
   * (en) [[www.tinker.tv/download/firewalls_ch10.pdf |DEPLOYING FWSNORT]]

====Liens externes====


----
Contributeurs : [[:utilisateurs:psychederic|Psychederic]], ...//